AVV - Auftragsdatenverarbeitungsvertrag (DPA)
Jobilla DACH GmbH
AVV - Auftragsdatenverarbeitungsvertrag (DPA)
Version: 15.12.2022
Begriffsbestimmungen
Zur Umsetzung der Zwecke des zwischen Jobilla (nachfolgend „Jobilla“) und der Organisation, die Dienstleistungen von Jobilla bezieht (nachfolgend „Kunde“), geschlossenen Vertrags („Hauptvertrag“) muss Jobilla personenbezogene Daten des Kunden verarbeiten. Der vorliegende Vertrag über die Verarbeitung personenbezogener Daten („Auftragsdatenverarbeitungsvertrag“) ist ein wesentlicher und integraler Bestandteil des zwischen Jobilla und dem Kunden bestehenden Hauptvertrags. Jobilla und der Kunde werden in vorliegendem Vertrag einzeln als „Partei“ und zusammen als „Parteien“ bezeichnet.
Die in vorliegendem Auftragsdatenverarbeitungsvertrag verwendeten Begriffe haben die gleiche Bedeutung wie in Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („DSGVO“). Zu diesen Begriffen gehören insbesondere Verantwortlicher, Auftragsdatenverarbeiter, personenbezogene Daten, betroffene Person, Verarbeitung und Verletzung des Schutzes personenbezogener Daten.
Rechte und Pflichten der Parteien
In vorliegendem Auftragsdatenverarbeitungsvertrag vereinbaren die Parteien, dass Jobilla als Auftragsdatenverarbeiter während der Laufzeit des Hauptvertrags personenbezogene Daten im Auftrag des Kunden verarbeitet.
Der Kunde ist der Verantwortliche in Bezug auf die personenbezogenen Daten seiner Arbeitssuchenden, d. h., der Kunde bestimmt alleine, welche Daten von den Arbeitssuchenden erhoben werden und für welche Zwecke und mit welchen Mitteln personenbezogene Daten verarbeitet werden. Der Kunde ist für die Einhaltung der Pflichten der DSGVO und sonstiger für Verantwortliche geltender Gesetze verantwortlich.
Jobilla verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, sofern Jobilla nicht durch das Recht der Union oder der Mitgliedstaaten, dem Jobilla unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt Jobilla dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Während und nach der Verarbeitung kann Jobilla anonymisierte Daten für die Entwicklung der eigenen Aktivitäten und Produkte speichern und verwenden. Anonymisierung bedeutet, die Daten so zu verändern, dass sie in keiner Weise mehr zur Identifizierung natürlicher Personen verwendet werden können.
Jobilla informiert den Kunden unverzüglich, falls Jobilla der Auffassung ist, dass Weisungen des Kunden gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
Zusätzlich zu vorliegendem Verarbeitungsvertrag verpflichtet sich jede der Parteien, die geltenden nationalen Datenschutzgesetze und die Vorschriften der DSGVO einzuhalten, die jeweils für ihre Aktivitäten gelten.
Art und Zweck der Verarbeitung
Jobilla verarbeitet personenbezogene Daten für die Zwecke der Bereitstellung und Auslieferung von Produkten und Dienstleistungen an den Kunden gemäß dem Hauptvertrag. Jobilla ist nicht berechtigt, die personenbezogenen Daten des Kunden für andere Zwecke oder im Interesse anderer zu verarbeiten.
Kategorien betroffener Personen und Kategorien verarbeiteter personenbezogener Daten
Die verarbeiteten personenbezogenen Daten betreffen die Arbeitssuchenden des Kunden.
Da der Kunde die vollständige Kontrolle darüber hat, welche Daten über Arbeitssuchende verarbeitet werden, trägt der Kunde die alleinige Verantwortung für die Berechtigung der Verarbeitung dieser personenbezogenen Daten. Bei den verarbeiteten personenbezogenen Daten handelt es sich in der Regel um den Namen, die E-Mail-Adresse, die Telefonnummer, die Bewerbung und den Lebenslauf von Arbeitssuchenden.
Dauer der Verarbeitung und Aufbewahrungsfrist
Jobilla verarbeitet personenbezogene Daten während der Laufzeit des Hauptvertrags.
Jobilla speichert die personenbezogenen Daten der Arbeitssuchenden des Kunden für die Dauer der vom Kunden festgelegten Aufbewahrungsfrist. Soweit nicht anderweitig vom Kunden festgelegt, beträgt die Standardaufbewahrungsfrist für personenbezogene Daten zwei Jahre für jeden Arbeitssuchenden des Kunden; anschließend werden die personenbezogenen Daten des jeweiligen Arbeitssuchenden automatisch anonymisiert.
Subunternehmer
Jobilla verfügt über die allgemeine Genehmigung des Kunden zur Beauftragung von Subunternehmern. Eine aktuelle Liste der Unterauftragsverarbeiter ist unter [Sub-processors] abrufbar.
Beabsichtigt Jobilla Änderungen hinsichtlich der Subunternehmer vorzunehmen, so teilt Jobilla dies dem Kunden mindestens 30 Tage im Voraus schriftlich mit. Die Mitteilungspflicht von Jobilla betrifft das Hinzufügen, das Entfernen oder die Änderung eines Unterauftragsverarbeiters. Nach Erhalt der Mitteilung ist der Kunde berechtigt, der beabsichtigten Änderung in Bezug auf den Einsatz eines Unterauftragsverarbeiters zu widersprechen.
Widerspricht der Kunde der beabsichtigten Änderung und ist Jobilla nach vernünftigem Ermessen nicht imstande, einen anderen Unterauftragsverarbeiter oder eine andere Methode bei der Verarbeitung der personenbezogenen Daten einzusetzen, haftet Jobilla gegenüber dem Kunden nicht für daraus resultierende Vertragsverletzungen oder Unterlassungen. In diesem Fall ist Jobilla berechtigt, den Hauptvertrag schriftlich zu dem Datum kündigen, an dem die Änderung des Subunternehmers in Kraft tritt.
Bei dem Einsatz von Subunternehmern für die Verarbeitung personenbezogener Daten stimmt Jobilla zu, allen von Jobilla ernannten Subunternehmern Datenschutzpflichten aufzuerlegen, die dem in vorliegendem Auftragsdatenverarbeitungsvertrag vorgesehenen Standard entsprechen. Jobilla trägt die Verantwortung, dass die Subunternehmern von Jobilla die Anforderungen des vorliegenden Auftragsdatenverarbeitungsvertrags erfüllen.
Internationale Datenübermittlungen
Jobilla und die von Jobilla eingesetzten Subunternehmern übermitteln keine personenbezogenen Daten in Länder außerhalb der EU oder des EWR, außer auf Grundlage dokumentierter Weisungen des Kunden und sofern nicht gesetzlich oder aufgrund verbindlicher staatlicher Amtsgewalt erforderlich. Die Übermittlung personenbezogener Daten muss unter Anwendung angemessener Garantien gemäß DSGVO erfolgen.
Vertraulichkeit
Sämtliche personenbezogenen Daten, die Jobilla im Auftrag des Kunden verarbeitet, gelten als vertrauliche Informationen des Kunden, und Jobilla verpflichtet sich, die Daten vertraulich zu behandeln und nicht gegenüber Dritten offenzulegen oder an diese weiterzugeben. Jobilla stellt sicher, dass nur die Personen innerhalb der eigenen Organisation von Jobilla Zugriff auf die personenbezogenen Daten erhalten, die Zugriff benötigen, um die Pflichten von Jobilla in Bezug auf den Zweck zu erfüllen, und dass die betreffenden Personen einer strengen – vertraglichen oder gesetzlichen – Verschwiegenheitspflicht unterliegen. Jobilla darf keinen Personen die Verarbeitung der personenbezogenen Daten gestatten, die nicht einer entsprechenden Verschwiegenheitspflicht unterliegen. Die entsprechende Verschwiegenheitspflicht gilt auch nach Beendigung oder Ablauf des Auftragsdatenverarbeitungsvertrags.
Datensicherheit
Jobilla setzt angemessene technische und organisatorische Maßnahmen ein, um die im Besitz von Jobilla befindlichen personenbezogenen Daten vor – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung von beziehungsweise unbefugtem Zugang zu den personenbezogenen Daten zu schützen. Die entsprechenden Maßnahmen tragen dem Stand der Technik, den Implementierungskosten und der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Rechnung. Zur Klarstellung sei darauf hingewiesen, dass die Verpflichtung zur Datensicherheit keine Datensysteme oder Software betrifft, die sich im Eigentum des Kunden befinden oder deren Rechte an geistigem Eigentum dem Kunden oder einem Dritten gehören.
Diese Maßnahmen können u. a. Folgendes einschließen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Weitere Informationen zu den von Jobilla eingesetzten technischen und organisatorischen Maßnahmen können unter [Technische und organisatorische Maßnahmen] abgerufen werden.
Verletzungen des Schutzes personenbezogener Daten
Jobilla hat den Kunden unverzüglich über Verletzungen des Schutzes personenbezogener Daten zu benachrichtigen, die zur Kenntnis von Jobilla gelangen, damit der Kunde die Vorschriften der Verordnung hinsichtlich der Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb der festgelegten Fristen erfüllen kann. Bei der entsprechenden Mitteilung an den Kunden hat Jobilla erforderliche Einzelheiten zu den Verletzungen des Schutzes personenbezogener Daten anzugeben und dem Kunden ferner auch angemessene Unterstützung zu leisten. Wenn und soweit die Informationen nicht alle zur gleichen Zeit bereitgestellt werden können, enthält die erste Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen; sobald die übrigen Informationen verfügbar werden, werden diese sodann jeweils unverzüglich bereitgestellt.
Jobilla hat außerdem sämtliche sonstigen erforderlichen Maßnahmen zu treffen, um die Auswirkungen der Verletzungen des Schutzes personenbezogener Daten zu mindern oder entsprechende Abhilfe zu schaffen.
Datenschutz-Folgenabschätzung
Erlangt Jobilla Kenntnis davon, dass die beabsichtigte Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte, so hat Jobilla den Kunden darüber in Kenntnis zu setzen und ihn, falls erforderlich, bei der Durchführung einer Datenschutz-Folgenabschätzung zu unterstützen.
Rechte der Betroffenen
Unter Berücksichtigung der Art der Datenverarbeitung hat Jobilla dem Kunden angemessene und unverzügliche Unterstützung zu gewähren, insbesondere durch einschlägige technische und organisatorische Maßnahmen, um Anträgen einer betroffenen Person zu entsprechen, ihre im Rahmen der Verordnung bestehenden Rechte auszuüben. Zu diesen Rechten können das Recht auf Auskunft, Berichtigung, Widerspruch, Löschung („Recht auf Vergessenwerden“) und Datenübertragbarkeit gemäß ihrer Beschreibung in der DSGVO gehören.
Werden die entsprechenden Anträge direkt an Jobilla gerichtet, so hat Jobilla den Kunden unverzüglich über den Antrag in Kenntnis zu setzen. Jobilla darf dem Antrag nur mit Genehmigung des Kunden entsprechen.
Überprüfungen
Jobilla stellt dem Kunden sämtliche Informationen zur Verfügung, die erforderlich sind, um die Erfüllung der in vorliegendem Auftragsverarbeitungsvertrag und in der DSGVO festgelegten Pflichten nachzuweisen. Jobilla gestattet Überprüfungen – einschließlich Inspektionen der Räumlichkeiten, Systeme, Prozesse und Dokumentation von Jobilla – durch den Kunden, stellt diesbezügliche angemessene Unterstützung bereit und nimmt an den Überprüfungen teil, wenn die Durchführung einer solchen Überprüfung nach Ansicht des Kunden erforderlich ist. Überprüfungen werden während der üblichen Geschäftszeiten durchgeführt mit dem Ziel, die Geschäftstätigkeit von Jobilla so wenig zu beeinträchtigen, wie dies nach vernünftigem Ermessen möglich ist. Jede Partei trägt die ihr im Zusammenhang mit der Durchführung der Überprüfung entstehenden Kosten selbst. Der Kunde kündigt Jobilla die Überprüfung mindestens 30 Tage im Voraus an. Zur Vermeidung unnötiger Überprüfungen sollten Überprüfungen vorrangig nur in Situationen durchgeführt werden, in denen ein Grund zur Annahme besteht, dass Jobilla die Bestimmungen des vorliegenden Auftragsdatenverarbeitungsvertrags oder die Anforderungen der Datenschutzverordnung nicht erfüllt. Jobilla gewährleistet außerdem das Recht des Kunden, die Subunternehmern von Jobilla gemäß den Vorgaben der DSGVO zu überprüfen, soweit eine entsprechende Überprüfung nach vernünftigem Ermessen möglich ist.
Weitere Bestimmungen
Hat Jobilla den Kunden in Bezug auf einen vom Kunden verursachten Verstoß gegen die DSGVO, bei der Umsetzung von Rechten von Betroffenen, die sich von der gewöhnlichen Verarbeitung unterscheidet, oder der Einhaltung der Vorschriften der Datenschutz-Folgenabschätzung zu unterstützen, so ist Jobilla berechtigt, die für die Unterstützung nach vernünftigem Ermessen aufgewandte tatsächliche Zeit gemäß den zwischen den Parteien vereinbarten Stundensätzen in Rechnung zu stellen. Damit die für die Unterstützung aufgewandte Zeit in Rechnung gestellt werden kann, muss der Kunde zugestimmt haben, dass Jobilla Zeit für die Erbringung der Unterstützung aufwenden kann.
Jobilla haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsdatenverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Kunden oder gegen diese Anweisungen gehandelt hat. Hat eine Partei gemäß Absatz 82 DSGVO der betroffenen Person vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist die Partei, welche den Schadenersatz gezahlt hat, berechtigt, von der anderen Partei den Teil des Schadenersatzes zurückzufordern, der dem Anteil der Partei an der Verantwortung für den Schaden entspricht, der durch den Verstoß gegen die DSGVO verursacht wurde. Jobilla haftet gegenüber dem Kunden nicht für indirekte, Folge- oder besondere Schäden oder für Ansprüche Dritter, die sich aus der Verletzung des vorliegenden Vertrags ergeben. Die Haftung von Jobilla für Schäden und Vertragsverletzungen beschränkt sich auf den aggregierten Höchstbetrag, der im zwischen den Parteien bestehende Hauptvertrag als Haftungsobergrenze von Jobilla für Verletzungen des Hauptvertrags angegeben ist.
Laufzeit und Auswirkungen der Beendigung
Der vorliegende Auftragsdatenverarbeitungsvertrag tritt zum gleichen Zeitpunkt wie der zwischen den Parteien bestehende Hauptvertrag in Kraft und bleibt anschließend so lange in Kraft, bis der Hauptvertrag beendet wird oder gemäß seinen Bestimmungen abläuft.
Nach Beendigung bzw. Ablauf des Hauptvertrags hat Jobilla innerhalb eines angemessenen Zeitraums nach Wahl des Kunden entweder die Löschung sämtlicher personenbezogenen Daten oder deren Rückgabe an den Kunden vorzunehmen und außerdem sämtliche Kopien der personenbezogenen Daten zu löschen, es sei denn, Jobilla hat nach dem Recht der Union oder der Mitgliedstaaten einen Teil oder sämtliche dieser Daten aufzubewahren. In diesem Fall speichert Jobilla die Daten gemäß den gesetzlichen Vorgaben ohne weitere Verarbeitung der personenbezogenen Daten und erfüllt weiterhin die Pflichten des vorliegenden Verarbeitungsvertrags.
Hat der Kunde Jobilla nicht über die Löschung bzw. die Rückgabe von Daten informiert, so löscht Jobilla sämtliche im Besitz von Jobilla befindlichen personenbezogenen Daten, einschließlich etwaiger Kopien, gemäß der in vorliegendem Verarbeitungsvertrag festgelegten Aufbewahrungsfrist, es sei denn, nach dem Recht der Union oder der Mitgliedsstaaten hat Jobilla einen Teil oder sämtliche dieser Daten aufzubewahren.
Der Kunde muss sicherstellen, dass er vor Ablauf der Aufbewahrungsfrist über Sicherungskopien der Daten verfügt, sofern die Daten nach Ansicht des Kunden weiterhin erforderlich sind.